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(54) Verfahren zur sicheren Schlusselverteilung 

(57) Ein Verfahren zur sicheren Schlusselverteilung 
mit emer sicheren Schlusselverteilzentrale umfaBt die 
folgenden Schritte: 

(I) Erzeugen mindestens zweier geratespezifischer 
Masterschlussel in einer sicheren Schlusselverteil- 
zentrale (30) ; 

(II) Ausstatten von Speichem von Geraten (iO). die 
zu einem System gehoren, mit dem zugehorigem 
Masterschlussel (MKEK-i), wan rend der Herstel- 
lung der Gerate in einem gesicherten Bereich (50, 
60), 

(HI) Verbinden der Gerate (10, 20,.., i0,..., xO) zu ei- 



nem System und initialisierung der zum System 
verbundenen Gerate (10, 20,.., iO,..., xO) uber einen 
ungesicherten Kanal (37) mit Generierung, ver- 
schlusselter Ubermittlung von der sicheren Schlus- 
selverteilzentrale (30) und nichtfluchtiges Spei- 
chem eines entschlusselten gemeinsamen gehei- 
men Verschlusselungsschlussels (KEK) auslesesi- 
cher in den Speichem der Gerate des Systems, wo- 
bei jeweils zwei Gerate, welche miteinander kom- 
munizieren sollen, mit einem geheimen gemeinsa- 
men Verschlusselungsschlussel (KEK) ausgestat- 
tet werden. 
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Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren zur siche- 
ren Schlusselverteilung mit einer sicheren Schlussel- 
verteilzentrale gemaB des Oberbegriffs des Anspruchs 
1 . Die Erfindung ist fur die Herstellung und Initialisierung 
von Frankiereinrichtungen bestehend aus mindestens 
zwei Geraten geeignet. die zusammen ein offenes Sy- 
stem bilden aber dennoch falschungssicher Daten aus- 
tauschen konnen. 

[0002] Es ist bekannt, daB ein Gerat, welches mit ei- 
nem anderen Gerat sicherheitsrelevante Daten aus- 
tauscht, einen sicheren Kanal aufweisen muB. So wird 
laut DE 24 38 055 02 (US 3.938.095) eine elektronische 
PortomeBschaltung einerseits uber eine Sicherheits- 
verbindung mit dem Drucker verbunden. Die elektroni- 
sche PortomeBschaltung ist in einem gesicherten Ge- 
hause angeordnet und steht andererseits mit einem 
Rechner in Kommunikationsverbindung. 
[0003] Werden alternativ solche sicherheitsrelevan- 
ten Daten, wie geldwerte Daten, uber einen unsicheren 
Kanal transferiert, mussen die Daten auf eine andere 
geeignete Art und Weise gegen eine Manipulation in 
Falschungsabsicht geschutzt werden. Beispielsweise 
durfen aufgezeichnete Datenubertragungssignale nicht 
zu einem unabgerechneten erneutem Abdruck fuhren, 
wenn sie emeut zum Druckkopf ubermittelt werden. 
[0004] Aus dem EP 716 393 A2 ist eine Frankierma- 
schine mit einer erweiterten Druckkopf -hardware und 
mit einer spezietlen Druckdatensteuerung in einem 
ASIC bekannt. Das ASIC gestatlet einerseits die Kom- 
munikation mit den Sensoren und Aktoren und anderer- 
seits die Obermittlung eines Freischaltcodes und den 
Empfang eines Quittungscodes mit anschlieBendem 
Vergleich. Beide, so won I die spezielie Druckdaten- 
steuerung als auch die einer erweiterte Druckkopfhard- 
ware, sind mit einem Codegenerator ausgestattet, der 
fur jede Druckbildubertragung einen einzigartigen Code 
generiert. Das ASIC dient somit fur die Kommunikation 
mit dem Druckkopf als Sicherheitsmodul. Der Druckkopf 
ist seinerseits mit einer erweiterten Druckkopfhardware 
ausgestattet, welche zum Uberprufen eines empfange- 
nen Freischaltcodes ausgebildet ist. um den Druckkopf 
fur genau einen Abdruck freizuschalten. 
[0005] Aus dem EP 789 333 A2 ist eine Frankiemna- 
schine mit einem Sicherheitsmodul bekannt, welche die 
Abrechnung fur die durchzufuhrenden Frankierungen 
vornimmt, wobei das Sicherheitsmodul von einem Si- 
cherheitsgehause umgeben ist und den DatenfluB zum 
Drucker uberwacht. Dieser Drucker kann einen manipu- 
lationssicheren Abdruck drucken, der eine einzigartige 
Markierung fur jedes der Poststucke aufweist. Das Si- 
cherheitsmodul konnte nun zusatzlich mit der vorge- 
nannten speziellen Druckdatensteuerung oder um eine 
Verschlusselungseinrichtung erweitert werden, um we- 
nigstens einige Daten zu verschlusseln und dann zum 
Drucker zu senden. 

[00OS] Ein Postverarbeitungssystem mit einer uber 



Personalcomputer gesteuerten druckenden Maschi- 
nen-Basisstation, gemaB der nicht vorveroffentlichten 
deutschen Patentanmeldung Nr. 197 11 998.0, weist ein 
in einen Personalcomputer eingebautes Sicherheitsmo- 

s dul auf, welches mit der Druckkopfelektronik uber eine 
serielle Schnittstelle kommuniziert. AuBerdem ist vorge- 
sehen, daB von der Druckkopfelektronik die Authentizi- 
tat mindestens einiger derjenigen vom Sicherheitsmo- 
dul geheferten Druckdaten uberpruft wird. Vorausset- 

10 zung fur die Erzeugung eines Codes bzw. einer Ver- 
schlusselung ist ein geeigneter Algorithmus bzw. Ver- 
schlusselungsalgorithmus mit entsprechenden Schlus- 
seln. 

[0007] In der Druckschrift EP 782 1 1 1 A2 wird. zur ge- 

'5 genseitigen Authorisation von zwei Subsystemen mit 
Mikroprozessoren vorgeschlagen, zunachst in jedem 
Subsystem einen Sitzungsschlussel auf gleiche Weise 
zu generieren, mit dessen Hilfe eine Verschlusselung 
von variablen Daten zu einem Authentifikations Zertifi- 

20 kat ermoglicht wird. Das jeweils andere Subsystem er- 
zeugt auf dieselbe Weise ebenfalis ein Authentifikations 
Zertifikat und vergleicht beide Zertifikate zwecks Autho- 
risation. Die Verschlusselung erfolgt nach dem DES-AI- 
gorithmus jeweils mittels Mikroprozessor. Jeder der bei- 

25 den Mikroprozessoren kann eine Liste an Authenticati- 
on Keys speichern, aus der er einen auswahlt. Mit einer 
zweiten Variable und einem ausgewahlten Authentica- 
tion Key erzeugt jedes Subsystem den Sitzungsschlus- 
sel nach einem Kryptoalgorithmus. Mit dem Sitzungs- 

30 schlussel und mit einer ersten Variable wird dann ein 
Authoriationscode gemaB einem Kryptoalgorithmus er- 
zeugt. Das Zertifikat ergibt sich dann daraus durch Trun- 
cation. Fur die Authentifikation des anderen Subsy- 
stems wird der gleiche Sitzungsschlussel aber eine an- 

35 dere dritte Variable verwendet. 

[0008] Eine einseitige Authorisation des zweiten Sub- 
systems (print modul uP) gegenuber dem ersten Sub- 
system (vault uP) gemaB EP 782 1 1 3 A2 verwendet wie- 
der den Sitzungsschlussel und den gleichen Algorith- 

40 mus, wobei nach Abrechnung im ersten Subsystem 
(vault u.P) ein Authentifikations Zertifikat zum zweiten 
Subsystem (print modul u>P) gesendet und dort verifi- 
ziert wird, indem dort auch auf gleiche Weise ein Au- 
thentifikations Zertifikat erzeugt und gepruft wird ; ob die 

45 Zertifikate ein bestimmtes Verhaltnis zueinander haben. 
[0009] Bei einem ahnlichen Verfahren, dem Chalenge 
& Response-Verfahren, werden statt dem vorgenann- 
ten ausgewahlten Authentication Key Zufallszahlen zur 
Erzeugung des Sitzungsschlussels verwendet. 

50 [0010] Bei den vorgenannten Losungen muB bei der 
Schlusselgenerierung die Synch ronitat gewahrt blei- 
ben, da sich anderenfalls beide Gerate (Subsysteme) 
nicht verstehen konnen, was dann als fehlende Autho- 
risation interpreted wird. 

55 [0011] Der Erfindung liegt die Aufgabe zugrunde, ein 
fur Frankiermaschinen geeignetes Verfahren zur siche- 
ren Schlusselverteilung zu entwickeln. um eine Anzahl 
an Geraten mit einem gemeinsamen Schiussel auszu- 
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statten, ohnedaBder Schlussel einer unbefugten Partei 
in die Hande fallt. 

[0012] Die Aufgabe wird gemaB den Merkmalen des 
Anspruchs 1 geldst. 

[001 3] Die Erfindung geht von einem Server aus, wel- 
cher als em dnttes Gerat die ersten und zweiten Gerate 
mit dem fur den Schlusseltausch ertorderlichen gemein- 
samen geheimen Verschlusselungsschlussel ausstat- 
tet. wenn ein solcher angefordert wird. Ebenso konnen 
mehrere Gerate eines Systems paarweise mit einem 
gemeinsamen geheimen Verschlusselungsschlussel 
ausgestattet werden. 

[0014] Der Server halt eine Anzahl zusammengeho- 
riger geratespezifischer Masterschlusseln fur den Fall 
vorratig gespeichert, daG ein gemeinsamer geheimer 
Verschlusselungsschlussel angefordert wird. Einer der 
geratespeziftschen Masterschlussel ist identisch mit ei- 
nem bei der Herstellung, vorzugsweise vor dem Zusam- 
menbau des ersten Gerates, im ersten Gerat gespei- 
cherten Masterschlussel. Derandere geratespezifische 
Masterschlussel ist identisch mit einem im zweiten Ge- 
rat befindlichen Masterschlussel. Jedes der beiden Ge- 
rate ist damit in der Lage, nur eine fur das jeweilige Ge- 
rat bestimmte Nachricht zu entschlusseln. Es ist vorge- 
sehen, daB die Nachricht einen geheimen ersten Ver- 
schlusselungsschlussel in verschlusselter Form enthalt 
und nach der erstmaligen Inbetriebnahme eines aus 
beiden Geraten bestehenden Systems von einem der 
beiden Gerate angefordert wird. Vorzugsweise ist nur 
das Meter mit einem Modem ausgestattet. Somit erfolgt 
die Anforderung vom Meter an den Server eine solche 
Nachricht an das Meter zu senden. Die Nachricht ist 
zweiteilig entsprechend der beiden Gerate, die schnitt- 
stellenmaGig mtteinander verbunden sind und kommu- 
nizieren sollen. 

[0015] Da Meter und Base schnittstellenmaGig mit- 
einander verbunden sind, kann das Meter einen fur die 
Base bestimmten Nachrichtenteil weiterleiten. Ebenso 
konnen weitere zwei Gerate eines Systems mit einem 
gemeinsamen geheimen Schlussel durch Weiterlertung 
der Nachricht und deren geratespezifischen Entschlus- 
selung ausgestattet werden, wenn die Gerate schnitt- 
stellenmaGig miteinander verbunden sind. 
[0016] Der Server empfangt die Anforderung, gene- 
riert den ertorderlichen gemeinsamen Verschlusse- 
lungsschlussel und bildet die beiden Teile der Nachricht, 
entsprechend der Identitat der zu benachrichtigenden 
Gerate. Bei einen zweiteiligem System bestehend aus 
Meter und Base wird die zweiteilige Nachricht mit den 
Identizitatsdaten des Meters und der Base angefordert. 
Das Bilden jedes der Nachrichtenteiie erfolgt mit dem 
der jeweiligen Identitat zugeordneten geratespezifi- 
schen Masterschlussel, welcher auch im entsprechen- 
den Gerat auslesesicher gespeichert vorliegt, fur das 
der Nachrichtenteil bestimmt ist. 
[0017] Nach dem Generieren des ertorderlichen ge- 
meinsamen Verschlusselungsschlussels und dem Bil- 
den der Teile der Nachricht sowie dem Senden der 



Nachricht an das anfordernde Gerat wird der generierte 
gemeinsame Verschlusselungsschlussel im Arbeitspei- 
cher des Servers geloscht. Eine unmittelbare Kompro- 
mittierung eines bestehenden System ist somit unmog- 
5 lich, weil auch bei einem unerlaubten Einblick in die Da- 
tenbank des Servers die gemeinsamen Schlussel nicht 
auffindbar sind. 

[0018] Nach dem Empfang der Nachricht im anfor- 
derndem Gerat wird der Nachrichtenteil weitergeleitet, 

io welcher nicht fur das anfordernde Gerat bestimmt ist. 
Der nicht weitergeleitete Nachrichtenteil wird im anfor- 
derndem Gerat und der weitergeleitete Nachrichtenteil 
wird im anderen Gerat entschlusselt. Der gemeinsame 
Verschlusselungsschlussel wird auslesesicher in jedem 

'5 Gerat gespeichert und steht nun fur einen geheimen 
Schlusselaustausch eines Sitzungsschlussels zur Ver- 
fugung. 

[0019] Wahrend der Herstellung der fur das System 
bestimmten Gerate werden sowohl im auslesesicherem 

20 Speicher des Gerates als auch in einer Datenbank des 
Servers die geratespeziftschen Masterschlussel ausle- 
sesicher und die Identitatsdaten falschungssicher ge- 
speichert. Welche Gerate eines Systems als zusam- 
mengehorig gelten, ist abhangig davon, welche gerate- 

25 spezifischen Identitatsdaten einander zugeordnot sind. 
Solche Zugehdrigkeiten konnen von eine authorisierten 
Person in das Meter eingegeben bzw. beliebig erzeugt 
und gespeichert werden. Sie stehen fur den Fall zur Ver- 
fugung, daB eines der Gerate ausgewechsett.oder das 

30 System mit einem geeigneten Gerat erganzt werden 
soli. 

[0020] Ein ausgeliefertes Gerat enthalt in seinem 
durch ein Sicherheitsgehause gesicherten nichtfluchti- 
gem Speicher nur Identifikationsdaten und den gegen- 

35 uber einem externen Auslesen gesicherten spezifi- 
schen Masterschlussel gespeichert. Ein solches Gerat 
mufite in der Regel zerstbrt werden, um an den spezi- 
fischen Masterschlussel zu gelangen, welcher aber 
nicht zu irgendeinem anderem Gerat pafM. 

40 [0021] Beim Initialisieren der Gerate eines Systems 
konnte zwar mit einem kompromittierten Masterschlus- 
sel die Obermittlung des des gemeinsamen geheimen 
Verschlusselungsschlussels aufgezeichnet und ent- 
schlusselt werden. Es sind aber weitere Vorkehrungen 

45 getroften worden, um ein eventuelles Abfangen und 
Verandern der Nachricht bzw. Ubermitteln und Weiter- 
leiten einer f ruher auf gezeichneten Nachricht an die G e- 
rate des Systems auch dann unwirksam zu machen, 
wenn die Gerate wiederholt mit einem gemeinsamen 

so geheimen Verschlusselungsschlussel ausgestattet 
werden. 

[0022] Ein Vorteil der Erfindung liegt darin, daG die ge- 
meinsamen geheimen Verschlusselungsschlussel uber 
unstchere Kanale sicher geandert bzw. ausgewechselt 
55 werden konnen. Somit mussen die Verschlusselungs- 
schlussel nicht bereits bei der Herstellung des Gerates 
in einem zugehorigen Speicher des Gerat nichffluchtig 
gespeichert werden. 
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[0023] Durch eine begrenzte Gultigkeit des gemein- 
samen geheimen Verschlusselungsschlussels wird ein 
eventueller Miflbrauch eines kompromittierten Systems 
auf kurze Zeitraume beschrankt. Selbst wenn durch 
Ausforschen des gemeinsamen geheimen Verschlus- 
selungsschlussels ein ganzes System kompromittiert 
ist ; dann ware aber ein anderes ganzes System dadurch 
noch nicht kompromittiert. 

[0024] Vorteilhafte Weiterbildungen der Ertindung 
sind tn den UnteransprOchen gekennzeichnet bzw. wer- 
den nachstehend zusammen mit der Beschreibung der 
bevorzugten Ausfuhrung der Erfindung anhand der Fi- 
guren naher dargestellt. Es zeigen: 

Fig. i , Anordung zur Ausstattung von Speichern mit 
einem Masterschlussel, 

Fig. 2, Anordung von zwei Geraten eines Systems 
zu deren Initialisierung mittels eines dritten 
Geraies, 

Fig. 3, Darstellung einer Initialisierung von zwei Ge- 
raten des Systems, 

Fig. 4, Darstellung der Sitzungsschlusselverteilung 
auf zwei Gerate des Systems, 

Fig. 5, Details der Initialisierung von zwei Geraten 
des Systems. 

[0025] Die Figur 1 zeigt eine Anordung zur Ausstat- 
tung von Speichern zweier Gerate eines Systems zu de- 
ren Ausstattung mit einem Masterschlussel durch ein 
drittes Gerat. Es ist vorgesehen, da 3 die Speicher eine 
erste und zweite Partei A und B bilden. Die Speicher 
sind in ein an sich bekannte - nicht gezeigte - Vorrich- 
tung eingesetzt, die zum Ausstatten von Speichern mit 
Daten ausgebildet ist und mit einem Server 34 in Ver- 
bindung steht. Der Server 34 ist Bestandteil einer gesi- 
cherten Schlusselverteilzentrale 30 und bildet eine be- 
teiligte dritte Partei. Ein programmierbarer nichtfluchti- 
ger Spetcherbaustein ist beispielsweise ein EEPROM. 
Das Ausstatten erfolgt in einer gesicherten Umgebung 
50, 60 beim Hersteller der Gerate des Systems bzw. der 
Frankiereinrichtung, beispielsweise durch Laden des 
unverschlusselten Masterschlussels und Identifikati- 
onsdaten sowie gegebenenfalls weiteren Daten in die 
dafur vorgesehenen Speicherbereiche bzw. durch ein 
Programmieren eines Speicherbausteines. Beim Laden 
erfolgt ein gesichertes Auslesen des unverschlusselten 
Masterschlussels aus einer Datenbank 31 des Servers. 
Ein gesichertes Auslesen einer Datenbank 31 des Ser- 
vers 34 erfordert einen sicheren Kanal 36, beispielswei- 
se eine sichere Datenleitung 36 zwischen der gesicher- 
ten Schlussetverteilzentrale 30 und den gesicherten 
Umgebungen 50 und 60. In gesicherter Umgebung 50 t 
60 ist vorzugsweise ein handelsubliches Programmier- 
gerat zur Programmierung eines Spetcherbausteines 
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angeordnet. Das Programmiergerat ist mit entspre- 
chenden mit der sicheren Datenleitung 36 verbundenen 
Empfangsmitteln bzw. Eingabemittetn ausgestattet. 
Beispielsweise soil ein EEPROM programmiert werden. 

5 

[0026] Es ist in einer anderen Variante vorgesehen, 
daO der zu programmierende nichtfluchtige Speicher- 
baustein zuerst in das Gerat 10, 20 eingebaut und dann 
programmiert wird, wobei das Gerat 10, 20 selbst zur 

w Programmierung ausgebildet ist. 

[0027] Das erste Gerat ist beispielsweise oin mit ei- 
nem Modem 15 ausgestattetes Meter 10, weiches mit 
einem Modem 33 der Schlusselverteilzentrale uber die 
sichere Datenleitung 36 in Kommunikationsverbindung 

*s gebracht wird. Das Meter hat selbst keine Druckeinrich- 
tung sondern dient im Normalbetrieb lediglich als gesi- 
cherte Buchungseinrichtung, welche mit Ein- und Aus- 
gabemitteln gemeinsam in einem Sicherheitsgehause 
16 untergebracht ist. Fur den Normalbetrieb kann exter- 

20 ne Druckeinrichtung uber einen ungesicherten Kanal, 
beispielsweise eine ungesicherte Datenleitung 23, an- 
geschlossen werden. Ein Meter kann ein Sicherheits- 
modul mit einem Sicherheitsgehause enthalten. Das Si- 
ch erheitsmodu I enthalt vorzugsweise einen OTP-Pro- 

25 zessor (one time programmable), eine Hardwareab- 
rechnungsschaltung und Speicher zur Speicherungder 
Abrechnungsdaten in Postregistern. Der OTP-Prozes- 
sor hat eine Datenverarbeitungs- und Speicherkapazi- 
tat fur spezielle Anwendungen bzw. Sondermodi. Ein 

50 solcher Sondermodus zur Speicher-Programmierung 
kann naturlich nur vom Hersteller selbst, beispielsweise 
uber die Tastatur des Meters und/oder mittels einer spe- 
ziellen Masterchipkarte, eingestellt werden. Ein Block- 
schattbild fur ein Meter mit einem Stcherheitsmodul, an 

35 welches der Drucker angeschlossen ist, geht beispiels- 
weise aus der Europaischen Patentanmeldung EP 789 
333 A2 hervor. Altemativ kann ein Personalcomputer 
ein Modem und das Sicherheitsmodul mit dem Sicher- 
heitsgehause enthalten. Eine solche Losung wird naher 

to dargestellt, in der nicht vorveroffentlichten Deutschen 
Patentanmeldung 197 11 998.0 mit dem Titel: Postver- 
arbeitungssystem mit einer uber Personalcomputer ge- 
steuerten druckenden Maschinen-Basisstation. 
[0028] Das zweite Gerate ist vorzugsweise em in ge- 

"*£ s tcherter Umgebung 60 angeordnetes handelsubliches 
Programmiergerat zur Programmierung eines EE- 
PROMs, wobei das EEPROM beispielsweise fur einen 
Druckkopf vorgesehen ist. Das zweite Gerat kann alter- 
nate auch ein Drucker 20 sein, in welchen der Druck- 

50 kopf eingesetzt wird, welch er mit der Fahigkeit zur Pro- 
grammierung eines EPROMs ausgestattet ist. 
[0029] Fur jedes der ersten und zwerten Gerate wird 
also zunachst nur ein geratespezifischer gehetmer Ma- 
sterschlussel auslesegesichert in einem geeigneten 

55 Speicherbaustein nichffluchtig gespeichert. Der Spei- 
cherbaustein enthalt daruberhinaus auch Daten, die ei- 
ne Identifikation des Ge rates ermoglichen, in welches 
er eingebaut werden soil bzw. ist. . Der Speicherbau- 
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stein kann weiterhtn auch Parameterdaten enthalten, 

urn eine bestimmte Funktion des Gerates zu ermogli- 

chen. ^ 

[0030] Zum Speichern des geratespezifischen gehei- 

men Masterschlussels werden die folgenden Schritte 

ausgefuhrt: 

(I) Erzeugen mindestens zweier geratespezifischer 
Masterschlussel in einem Schlusselgenerator 32 
einer sicheren Schlusserverteilzentrale 30 und 
Speicherung jedes der geratespezifischen Master- 
schlussel zugeordnet zu Identifikationsdaten ID-x 
des Gerates in einer vor einem ungesicherten Aus- 
lesen geschutzten Datenbank 31 , so daR fur jedes 
Gerat 10, 20,. .JO,..., xO eines Systems ein separa- 
ter Masterschlussel MKEK-i zur Verfugung steht, 
wobei die Datenbank 31 uber einen Server 34 der 
Schlusselverteilzentrale mit dem Schlusselgenera- 
tor 32 verbunden ist, 

(II) Ausstatten von Speichern der zu dem System 
gehorigen Gerate 10, 20,..,i0. .... xO mit dem zuge- 
horigem Masterschlussel MKEK-i wahrend der Her- 
stellung der Gerate. wobei das Ausstatten durch ein 
gesichertes Auslesen der Datenbank 31 des Ser- 
vers und Laden des Masterschlussels MKEK-i in ei- 
nen Speicher 11, 21,..., il x1 des hergestellten 

Ober Identifikationsdaten ID-i identifizierbaren Ge- 
rates 10, 20,.., iO,..., xO bzw. durch Programmieren 
des Speichers vor dem Zusammenbau des Gera- 
tesystems erfolgt, sowie 

(III) Verbinden der Gerate 10. 20..., iO. ... xO zu ei- 
nem System und Initialisierung der zum System 

verbundenen Gerate 10, 20,.., iO xO, wobei je- 

weils zwei der Gerate 10,20,.., iO,.., xO, welche mit- 
einander kommunizieren sollen (zum Beispiel im 
Normalbetrieb), mit einem geheimen gemeinsamen 
Verschlusselungsschlussel KEK ausgestattet wer- 
den. 

[0031] In der Fig. 2 ist eine Anordung von zwei Gera- 
ten eines Systems zu deren Initialisierung mittels eines 
dritten Gerates dargestellt. Die zu ubermittelnden Daten 
werden vom Server 34 der Schlusselverteilzentrale 30 
verschlussert und uber Modem 35, eine ungesicherte 
Leitung 37 und uber ein Modem 1 5 an ein erstes Gerat 
10 gesendet. In das erste Gerat 10 ist der durch ein Si- 
cherheitsgehause 16 gesicherte Speicher 11 eingebaut. 
Im Sicherheitsgehause 16 sind auGerdem eine Daten- 
verarbeitungseinheit, vorzugsweise ein OTP-Prozessor 
14, und eine Schnittstelle 12 angeordnet, und miteinan- 
der und mit dem Speicher 1 1 schaltungsmaOig verbun- 
den. 

Uber die Schnittstelle 12 und einer zweiten ungesicher- 
ten Leitung 23 ist das erste Gerat 10 mit einer Schnitt- 
stelle 22 des zweiten Gerates 20 verbunden. In das 
zweite Gerat 20 ist der durch ein Sicherheitsgehause 
26 gesicherte Speicher 21 eingebaut. Im Sicherheitsge- 
hause 26 sind auGerdem eine Datenverarbeitungsein- 
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heit, vorzugsweise ein OTP-Prozessor 24 : und die 
Schnittstelle 22 angeordnet, und miteinander und mit 
dem Speicher 21 schaltungsma&ig verbunden. Die spe- 
zielle Datenverarbeitungs- und Speicherkapazitat ist fur 

5 solche Anwendungen, wie die Kommunikation zwi- 
schen Kommunikat ions partner ausgebildet und er- 
steckt sich auch auf besondere Funktionen bzw. Son- 
dermodi. Ein solcher Sondermodus zur Speicher-Pro- 
grammierung wird bei der erstmaligen bzw. bei einer er- 

10 neuten Initialisierung eines Systems mit den selben 
Oder anderen ausgetauschen Geraten eingestellt. 
Die gesicherten Speicher 11,21 enthalten herstellerma- 
3ig zunachst nur Identifikationsdaten und den gerate- 
spezifischen Masterschlussel. Die an das zweite Gerat 

'5 20 zu ubermittelnden Daten werden vom Server 34 der 
Schlusselverteilzentrale 30 mit dem Masterschlussel 
verschlusselt und uber Modem 35, den ungesicherten 
Kanal (z.B. eine Leitung 37) und uber ein Modem 15 an 
ein erstes Gerat 1 0 gesendet und dann zum zweiten Ge- 

20 rat 20 weitergeleitet. Die verschlusselt ubermittelten Da- 
ten konnen mit dem Masterschlussel entschlusselt wer- 
den und betreffen einen weiteren vom Schlusselgene- 
rator 32 erzeugten Verschlusselungsschlussel KEK. 
[0032] Die Fig. 3 zeigt eine Darstellung der Initialisie- 

25 rung von zwei Geraten des Systems, wobei letztere zu- 
satzlich mit einem gemeinsamen geheimen Verschlus- 
selungsschlussel KEK ausgestattet werden. Beim Vor- 
gang des Ausstattens sind drei Parteien A, B und C be- 
teiligt. Im Einzelnen sind folgende Schritte vorgesehen, 

30 

(1) Anfordem einer Nachricht M einschlieGlich der 
Ubermittlung zweier Identifikationsdaten ID-A, ID- 
B zweier Kommuntkationspartner A, B an den Ser- 
ver 34, wobei das Anfordern von einem der Gerate 

35 1 0, 20, . . , iO, . . . , xO nach dem Zusammenbau des Ge- 
ratesystems bei Inbetriebnahme des Systems wah- 
rend einer Kommunikationsverbindung mit dem 
Server erfolgt, 

(2) Generieren eines gemeinsamen geheimen Ver- 
40 schlusselungsschlussels KEK durch einen Key-Ge- 
nerator 32 des Servers 34 und Bilden von Teilen 
M1, M2 der Nachricht M im Server 34 fur die zwei 
Kommunikationspartner A, B entsprechend zweier 
benachbarter Gerate. wobei das Bilden jedes der 

45 Nachrichtenteile mit dem jeweiligen geratespezifi- 
schen Masterschlussel erfolgt, welcher sowohl in 
der Datenbank 31 des Servers 34 als auch im ent- 
sprechenden Gerat auslesesicher gespeichert vor- 
liegt, fur welches der Nachrichtenteil bestimmt ist, 

so (3) Senden der Nachricht M an das anfordernde 
Gerat 1 0, 

(4) Empfangen der Nachricht im anforderndem Ge- 
rat und Weiterleiten mindestens eines Nachrichten- 
teils M2, welcher nicht fur das anfordernde Gerat 
55 10 bestimmt ist, 

(5a) Entschlusseln eines ersten Nachrichtenteils 
M1 im anfordernden Gerat 10 und Speichern des 
entschlusselten gemeinsamen geheimen Ver- 
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schlusselungsschlussels KEK auslesesicher im 
Speicher 11 des anfordernden Gerats 10. sowie 
(5b) Entschlusseln des weitergeleiteten Nachrich- 
tenteils M2 mindestens in einem anderen Gerat 20 
und Speichern des entschlusselten gemeinsamen 
geheimen Verschlusselungsschlussels KEK ausle- 
sesicher im Speicher 21 des anderen Gerats 20. 

[0033] Die Fig. 4 zeigt eine Darsteflung des Verteilens 
von Sitzungsschlusseln auf zwei Gerate des Systems. 
Beim Vorgang des Verteilens sind nur zwei Parteien A, 
B beteiligt. Im Ergebnis des Verteilens sind in jedem der 
ersten und zweiten Gerate dann zusatzlich neben dem 
Verschlusselungsschlussel KEK und dem geratespezi- 
fischen geheimen Masterschtussel MKEK-x auch ein 
Sitzungsschlussel SK auslesegesichert in einem Spei- 
cher nichffluchtig gespeichert. 

[0034] Ein erstes Gerat kann auch ein PSD (Postage 
Security Device) fur einen Computer und em zweites 
Gerat kann eine Base, insbesondere ein mil entspre- 
chender Elektronik ausgerusteter Druckkopf Oder ein 
Drucker sein, welcher nicht physisch mit dem Meter 
oder PSD verbunden ist. Die uber eine ungesicherte 
Leitung zu ubermittelnden Daten werden mit dem Sit- 
zungsschlussel SK verschlusselt. 
[0035] Ein Sitzungsschlussel ist derjenige Schlussel, 
mit welchen diejenigen Daten verschlusselt werden, 
welche wahrend des normalen Betriebes zwischen den 
beteiligten Parteinen A, B ausgetauscht werden. Vor je- 
der Datenubertragung zwischen den beiden Gerat en 10 
und 20 soli der Sitzungsschlussel gewechselt werden, 
mit welchen Daten verschlusselt werden, so daft pro 
Druckbild ein neuer Sitzungsschlussel verwendet wird. 
Der zu wechselnde Sitzungsschlussel SK wird in einem 
der beiden Gerate generiert und dem jeweils anderem 
Gerat in verschlusselter Form Obermittelt. Der aktuell 
gultige gemeinsame geheime Verschtusselungsschlus- 
sel KEK wird ausschlieGlich zum Verschlusseln von sol- 
chen Sitzungsschlusseln SK verwendet : welche ge- 
wechselt werden. Dabei werden fotgende weitere 
Schritte durchlaufen: 

(6) Erzeugen eines Situngsschlussels SK zum Da- 
tentausch zwischen den Geraten und nichffluchti- 
ges Speichern des Situngsschlussels SK im Spei- 
cher des jeweils einen Ge rates ; 

(7) Verschlusselung mit dem geheimen Verschlus- 
selungsschlussel KEK zu einer dritten Nachricht 
M3, 

(8) Senden der dritten Nachricht M3 an das jeweils 
andere Gerat, 

(9) Entschlusselung der dritten Nachricht M3 mit 
dem geheimen Verschlusselungsschlussel KEK 
und nichffluchtiges Speichern des Situngsschlus- 
sels SK im Speicher des jeweils anderen Ge rates. 

[0036] Der geheime Schlussettausch von Sitzungs- 
schlusseln SK ist an sich aus EP 782 111 A2 bekannt. 
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Das Meter erzeugt vor jeder Datenubertragung einen 
Sitzungsschlussel, mit welchen Daten verschlusselt 
werden sollen. Neu ist, daG das Meter den Sitzungs- 
schlussel zum jeweils beteiligten anderen Gerat in ver- 

5 schlusselter Form ubertragt. Zur Verschlusselung und 
Entschlusselung dient der gemeinsame Verschlusse- 
lungsschlussel, welcher auslesesicher in jedem Gerat 
gespeichert vorliegt. Das jeweilige Gerat uberschreibt 
den gespeicheren bisherigen Sitzungsschlussel mit 

to dem neuen gultigen Sitzungsschlussel. Somit kann der- 
jenige Sitzungsschlussel gewechselt werden, mit wel- 
chen Daten verschlusselt werden konnen, die anschlie- 
Gend ubertragen werden. 

[0037] Es ist weiterhin vorgesehen, daG der Ver- 

'5 schlusselungsschlussel KEK gewechselt wird. Der Ver- 
schlusselungsschlussel kann gewechselt werden, m- 
dem die Antorderung der vorgenannten Nachricht M in 
Zeitabstanden vom anfordernden Gerat wiederholt 
wird. Die Guttigkeitsdauer der gemeinsamen geheimen 

20 Verschlusselungsschlussel kann somit auf ein MaG be- 
schrankt werden, so daG eine Manipulation in Fal- 
schungsabsicht auch bei Anwendungs modernster Me- 
thoden der Kryptoanalyse aussichtslos wird 
[0038] Einer Verschlusselung zur Nachricht M kann 

2$ eine Verkupfung des zu ubermittelnden Schlussels mit 
einer monoton stetig steigenden oder fallenden GroBe 
vorausgehen. Die Verkupfung des zu ubermittelnden 
Schlussels mit der monoton stetig steigenden oder fal- 
lenden GroGe erfolgt im Server vor einer Verschlus-se- 

30 lung zur Nachricht M und deren Ubermrttlung. Die mo- 
noton stetig steigende oder fallende GroBe tiegt in je- 
dem im System beteiligtem Gerat ebenfalls gespeichert 
vor und es erfolgt ein Unterscheiden einer fruher aufge- 
zeichneten Nachricht M' von einer neuen Nachricht M 

35 des Servers anhand dieser GroGe. Vorzugsweise er- 
folgt eine XOR-Verkupfung des zu ubermittelnden 
Schlussels mit einer fortlaufenden Zahl vor der Ver- 
schlusselung. Ein eventuelles Abfangen und Verandern 
der Nachricht bzw. Ubermitteln und Weiterleiten einer 

40 fruher aufgezeichneten Nachricht an die Gerate des Sy- 
stems ware damit ebenfalls ein erfolgloser Angriff. Die 
beteiligten Gerate konnen eine fruher aufgezeichneten 
Nachricht anhand der monoton stetig steigenden oder 
fallenden GroGe direkt oder indirekt ermitteln. 

45 [0039] Ein Szenario fur einen Angriff durch eine vierte 
Partei D konnte darin bestehen, das der Angreifer die 
Kommunikation zwischen den Parteien A und C, d.h. 
Meter und Server, belauscht und die ausgetauschten 
Nachrichten, insbesondere die Nachricht Mc vom Sever 

so zum Meter kopiert. Der Angreifer mietet Rechenzeit auf 
geeigneten schnellen Computern und kompromittiert 
den gemeinsamen geheimen Verschlus-selungsschius- 
sel KEK zwischen den Parteien A und B, d.h. Meter und 
Base. 

55 [0040] Sollte nun fur ein System eine neue Schlussel- 
verteiiung benotigt werden, beispielsweise nach erneu- 
ter Initialisierung mit demselben Druckkopf im Ergebnis 
einer Reparatur der Base, dann bemerkt der Angreifer 
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das Initialisieren aufgrund der vom Meter (Partei A) ab- 
gesendeten Anforderung eines KEK an den Server 
(Partei C). Die angreifende vierte Partei D spielt die ko- 
pierte Nachricht Mc ein. welche den kompromittierten 
Verschlusselungsschlussel enthalt. Folglich ware der s 
Verschlusselungsschlussel auch weiterhin kompromit- 
tiert. 

[0041 ] Abhilfe schafft ein erfindungsgemaGes Verfah- 
ren zur Erhohung der Sicherheit bei einer Schlusselver- 
teilung, da3 eine fruher aufgezeichnete von einer vier- io 
ten Partei D eingespielten Nachricht M'von einer neuen 
Nachricht M der dritten Partei C, d.h. des Servers, un- 
terscheiden kann. 

[0042] Ein bevorzugtes Verfahren zur Erhohung der 
Sicherheit bei einer Schlusselverteilung mit einer siche- '5 
ren Schlusselverteilzentrale, wobei die Datenbank 31 
uber einen Server 34 mit dem Schlusselgenerator 32 
verbunden ist, geht wieder von den vorgenannten 
Schritten aus: 

20 

(I) Erzeugen mindestens zweier geratespezifischer 
Masterschlussei in einem Schlusselgenerator (32) 
einer sicheren Schlusselverteilzentrale, 

(II) Ausstatten von Speichern der zu dem System 
gehdrigen Gerate 10, 20,..,i0,..., xO mit dem zuge- 25 
hdrigem Masterschlussei MKEK-i wahrend deren 
Herstellung, 

(III) Verbinden der Gerate 10, 20,.. , iO,..., xO zu ei- 
nem System und initialisierung der zum System 
verbundenen Gerate 10, 20,.., iO,...,xO. 30 

[0043] Die Fig.5 zetgt Details der Initialisierung von 
zwei Geraten des Systems. Das bevorzugte Verfahren 
umfaftt die folgenden Schritte: 

35 

(1) Anfordern einer Nachricht M einschlieGlich der 
Ubermittlung zweier Identifikationsdaten ID-A, ID-B 
zweier Kommunikationspartner A, B an den Server 
34, wobei das Anfordern von einem der Gerate 10, 

20, . ., iO , xO nach dem Zusammenbau des Gera- 

tesystems bei Inbetriebnahme des Systems wah- 
rend einer Kommunikationsverbindung mit dem 
Server erfolgt, 

(2) Generieren eines gemeinsamen geheimen Ver- 
schlusselungsschlussels KEK durch einen Key-Ge- 
nerator 32 des Servers 34 und Bilden von Teilen 
SM 1 , SM2 der Nachricht M im Server 34 fur die zwei 
Kommunikationspartner A, B entsprechend zweier 
benachbarter Gerate, wobei fur die Schlussetver- 
gabe des generierten geheimen Verschlusselungs- so 
schlussels KEK hdhere aktuelle Zahlstande CA, CB 
durch eine erste mathemattsche Funktion ermittelt 
werden, wobei fur die zwei Kommunikationspartner 

A, B aktuelle Mastersitzungsschlussel MSK-A, 
MSK-B durch Verknupfung der ermittelten aktuellen ss 
Zahlstande CA, CB mit dem jeweiligen geratespe- 
zifischen Masterschlussei MKEK-A, MKEK-B ge- 
ma(5 einer zweiten mathematischen Funktion gene- 



riert werden, wobei der an die zwei Kommunikati- 
onspartner A, B zu vergebende Verschlusselungs- 
schlussel KEK mit dem generierten aktuellen Ma- 
stersitzungsschlussel MSK-A bzw. MSK-B ver- 
schlusselt wird und mit dem Zahlstand CA bzw. CB 
sowie mit einer Signatur SlGl bzw. SIG2 erganzt 
den jeweiligen Nachrichtenteil SM1 bzw. SM2 bil- 
det, wobei die Signatur durch Anwendung einer drit- 
ten mathematischen Funktion auf den jeweiligen 
Nachrichtenteil gebildet wird, 

(3) Ubermitteln von Nachrichten M,N zwischen dem 
anfordernden Gerat und dem Server, wobei die aus 
den zwei Nachrichtenteilen SM1 bzw. SM2 beste- 
hende erste Nachricht M an das anfordernde Gerat 
gesendet (3.1) und dort empfangen (3.2) wird oder 
anderenfatls die die Nachrichtenubermittlung wie- 
derholt wird, wobei im anfordemdem Gerat ein er- 
warteter Zahlstand CA' fur den Schlusseltausch ge- 
neriert wird und die empfangene erste Nachricht M 
bezuglich des Zahlslandes CA desjenigen Nach- 
richtenteils SM1 ausgewertet wird, der das anfor- 
dernde Gerat betrifft, wobei eine erste Ruckmelde- 
nachricht N1 gebildet und zum Server zuruckge- 
sendet (3.3) wird : um den Empfang des ersten 
Nachrichtenteils SM1 der ersten Nachricht M zu be- 
statigen, falls der ausgewertete Zahlstand CA nicnt 
kleiner ist, als der im anfordemdem Gerat generier- 
te erwartete Zahlstand CA', 

(4) Ubermitteln mit Weiterleiten (4. 1 ) mindestens ei- 
nes Nachrichtenteils SM2, welcher fur den Kommu- 
nikationspartner B des anfordernden Gerates be- 
stimmt ist, wobei im im anderen Gerat, das der 
Kommunikationspartner B ist, ein erwarteter Zahl- 
stand CB' fur den Schlusseltausch generiert wird 
und wobei der Nachrichtenteil SM2 bezuglich des 
Zahlstandes CB ausgewertet wird, der den Kommu- 
nikationspartner B betrifft, wobei im Ergebnis des 
Auswertens (4,2) eine zwette Ruckmeldenachricht 
N2 gebildet, zum anfordernden Gerat ubermittelt 
(4.3) und uber das anfordernde Gerat zum Server 
zuruckgesendet (4.4) wird, um den Empfang des 
zweiten Nachrichtenteils SM2 der ersten Nachricht 
M zu bestatigen, falls der ausgewertete Zahlstand 
CB nicht kletner ist, als der im anderen Gerat gene- 
rierte erwartete Zahlstand CB', 

(5a) Generieren eines neuen aktuellen Mastersit- 
zungsschlussels MSK-A' analog des aktuellen Ma- 
stersitzungsschlussels MSK-A und Entschlusseln 
eines ersten Nachrichtenteils SM1 im anfordernden 
Gerat mittels des generierten neuen Mastersit- 
zungsschlussels MSK-A', um den Verschlusse- 
lungsschlussel KEK zu ermitteln, wobei eine Ver- 
gleichssignatur SIG1 ' zum Verifizieren gebildet wird 
und das Verifizieren des ersten Nachrichtenteils 
SM1 mittels der ubermittelten ersten Signatur SIG1 
erfolgt, sowie Speichern des entschlusselten ge- 
meinsamen geheimen Verschlusselungsschlussels 
KEK auslesesicher im Speicher des anfordernden 
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Gerates, wenn der Verschlusselungsschlussel KEK 
gultig ist crier Abbrechen der Operation, wenn er 
ungultig ist, und 

(5b) Generieren eines neuen aktuellen Mastersit- 
zungsschlussels MSK-B* analog des aktuellen Ma- 
stersitzungsschlussels MSK-B fur das andere Ge- 
rat und Entschlusseln eines zweiten Nachrichten- 
teils SM2 im anderen Gerat mittels des generierten 
neuen Mastersitzungsschlussels MSK-B', um den 
Verschlusselungsschlussel KEK zu ermitteln, wo- 
bei eine Vergleichssignatur SIG2' zum Verifizieren 
gebildet wird und das Verifizieren des zweiten 
Nachrichtenteils SM2 mittels der ubermittelten er- 
sten Signatur SIG2 erfolgt, sowie Speichern des 
entschlusselten gemeinsamen geheimen Ver- 
schlusselungsschlussels KEK auslesesicher im 
Speicher des anderen Gerates, wenn der Ver- 
schlusselungsschlussel KEK gultig ist Oder Abbre- 
chen der Operation, wenn er ungultig ist. 

[0044] Ais erste mathematische Funktion, um hdhere 
aktuelle Zahlstande CA, CB zu bilden, eignet sich ein 
Inkrementieren, beispielsweise gemaO der Formel (1): 

CA =: CA + 1 bzw. CB =: CB + 1 (1 ) 

[0045] Naturlich kann auch eine andere Funktion zur 
Bildung einer monoton stetig steigenden GroRe verwen- 
det werden, um hohere aktuelle Zahlstande zu bilden. 
[0046] Als zweite mathematische Funktion eignet 
sich eine XOR- Verknupf ung. Es ist vorgesehen, daQ fur 
die zwei Kommunikationspartner A, B aktuelle Master- 
sitzungsschlussel MSK-A, MSK-Bdurch XOR-Verknup- 
fung der ermittetten aktuellen Zahlstande CA, CB mit 
dem jeweiligen geratespezrfischen Masterschiussel 
MKEK-A, MKEK-B generiert werden. 
[0047] Die Signatur wird durch Anwendung einer drrt- 
ten mathematischen Funktion auf den jeweiligen Nach- 
richtenteil nach den Formeln (2), (3): 

SIG1 = ENCRYPT(F{M1},KEK), (2) 

mit M1 = ENCRYPT(MK-A. KEK),CA bzw. 

SIG2 = ENCRYPT(F{M2},KEK), (3) 

mit M2 = ENCRYPT(MK-B, KEK),CB gebildet. 
Als Verschlusselungsalgorithmus ENCRYPT eignet sich 
beispielsweise der Data Encryption Standard (DES). Die 
Funktion F begrenzt die Datenlange der zu verschlusseln- 
den Mitteilung M1, M2. Beispielsweise kann eine an sich 
bekannte Truncation s-Vorsch rift zur Kurzung verwendet 
werden Der KEK ist der Schlusselfurdie DES-Verschlus- 
selung der gekurzten Mitteilung, wobei die gekurzte Mit- 
teilung nur 64 Bit lang sein darf. Vorteilhaft kann ein mo- 



difizierter CBC-Modus zur Kurzung der Mitteilung M1 , M2 
verwendet werden. wobei im Unterschied zum CBC-Mo- 
dus nur ein zuletzt gebildetes verschlusseltes Datenwort 
als digitale Signatur verwendet wird. Die Kurzung Kur- 
5 zung der Mitteilung auf 64 Bit erfolgt durch Unterteifung 
der Mitteilung in Gruppen G1 . G2, G3,..., Gn von jeweils 
8 Byte. Die Gruppe G1 wird zuerst mit dem KEK nach 
dem DES-Algorithmus verschlusselt zu einem Datenwort 
SO von 64 Bit Lange. Das Datenwort SO wird mit der zwei- 
10 ten Gruppe G2 mitteis der XOR-Funktion verknupft und 
dann mit dem KEK nach dem DES-Algorithmus ver- 
schlusselt zu einem Datenwort S1 von 64 Bit Lange. Das 
Datenwort S1 wird mit der dritten Gruppe G3 mittels der 
XOR-Funktion verknupft und dann mit dem KEK nach 
is dem DES-Algorithmus verschlusselt zu einem Datenwort 
S2 von 64 Bit Lange. Das letzte nach dieser Bildungsvor- 
schrift entstehende Datenwort Sn-l hat wiederum eine 
Lange von 64 Bit und dient als Signatur. 
[0048] Vorteilhaft erfolgt ein Generieren eines neuen 
aktuellen Mastersitzungsschlussels (MSK-A* bzw. 
MSK-B') und das Verifizieren in den beteiligten beiden 
Geraten erst nach dem erfolgreichen Auswerten im an- 
deren Gerat (Schritt 4.2) und wenn eine zweite Ruck- 
meldenachricht (N2) gebildet und ubermittett wurde. 
Diese aufwendige Generierung und das Verifizieren 
bleibt somit auf die Falle einer fehler- und manipulati- 
on sf re i en Ubermittlung der Nachricht M beschrankt. 
Nach dem Empfang beider Ruckmeldenachrichten wird 
bei Erfolg die Ubertragung beendet und die Verbindung 
unterbrochen. Anderenfalls, im Fehlerfatl, wird der Zah- 
lerstand resynchronisiert, indem der Server den Zahler 
auf einen in der Ruckmeldenachricht mitgeteilten Zah- 
lerstand des die Ruckmeldenachricht sendenden Gera- 
tes setzt. 

[0049] Eine andere Moglichkeit die Sicherheit vor ei- 
nem Angriff zu erhohen beruht auf einer Verwendung 
des vorgenannten geheimen Schlusselverteilverfah- 
rens zum geheimen Schlusseltausch einer Vielzahl 
(Satz) an gemeinsamen geheimen Verschlusselungs- 
schlusseln. Letztere sind nur fur bestimmte Zeitperiode 
Oder nur fur eine bestimmte Anzahl an Schlusseltau- 
schen von Sitzungsschlusseln SK gultig. Die Anwen- 
dung des vorgenannten geheimen Schlusselverteilver- 
fahrens kann dann bereits beim Hersteller Oder einer 
geeigneten anderen Stelle erfolgen, welche einen An- 
griff auf die Schlusselsicherheit ausschliefit Oder min- 
destens wesentlich einschrankt. 

[0050] Die Vielzahl an gemeinsamen geheimen Ver- 
schlusselungssch I Ossein kann in einer vorbestimmten 
Reihenfolge mit jeweils zugeordnetem Gultigkeitskrite- 
rium vorteilhaft in Form einer Liste in den betreffenden 
Geraten gespeichert werden. Somit erfolgt nun eine Ge- 
nerierung eines Sitzungsschlussels SK in einem der 
Gerate des Systems entfernt von der Schlusserverteil- 
zentrale 30 und einen Zu griff auf den gespeicherten ak- 
tuell guftigen gemeinsamen geheimen Verschlusse- 
lungsschlussels KEK im Falle eines geheimen Schlus- 
seftausches von Sitzungsschlusseln SK z wise hen den 



25 



30 



35 



40 



45 



SO 



BNSDOCID: <EP 0948158A2J_> 



8 



15 



EP0 948 158 A2 



16 



Geraten des Systems wobei der vorgenannte Ver- 
schlusselungsschlussels KEK nur nur einen bestimm- 
ten Zeitperiode Oder fur eine bestimmte Anzahl an 
Schlusseltauschen von Sitzungsschlusseln SK gultig 
ist. 5 
[0051] Es kann auch eine Liste fur mehrere Kommu- 
nikationspartner gespeichert werden, wobei die Liste fur 
jeweils zwei Kommunikationspartner einen aktuell gul- 
tigen gemeinsamen geheimen Verschlusselungs- 
schlussel aufweist. 10 
[0052] Die Erfindung ist nicht auf die vorliegenden 
Ausfuhrungsform beschrankt, da offensichtlich weitere 
andere Ausf uhrungen der Erfindung entwickelt bzw. ein- 
gesetzt werden konnen. die vom gleichen Grundgedan- 
ken der Erfindung ausgehend, die von den anliegenden is 
Anspruchen umfa3t werden. 



Patentanspruche 

20 

1. Veriahren zur sicheren Schlusselverteilung mit ei- 
ner sicheren Schlusselverteilzentrale, gekenn- 
zeichnet durch die folgenden Schritte: 



2. Veriahren, nach Anspruch 1, gekennzeichnet 
durch die folgenden Schritte: 

so 

(I) Erzeugen mindestens zweier geratespezifi- 
scher Masterschlussel in einem Schlusselge- 
nerator (32) einer sicheren Schlusselverteil- 
zentrale (30) und Speicherung jedes der gera- 
tespezifischen Masterschlussel zugeordnet zu ss 
Identifikationsdaten ID-x des Gerates in einer 
vor einem ungesicherten Auslesen geschutz- 
ten Datenbank (31), so daft fur jedes Gerat (10, 



20 iO xO) eines Systems ein separater 

Masterschlussel (MKEK-i) zur Verfugung steht. 
wobei cue Datenbank (31) uber einen Server 
(34) der Schlusselverteilzentrale (30) mit dem 
Schlusselgenerator (32) verbunden ist, 

(II) Ausstatten von Speichern der zu dem Sy- 
stem gehorigen Gerate (10, 20,.. r i0 . .. xO) mit 
dem zugehorigem Masterschlussel (MKEK-i) 
wahrend der Herstellung der Gerate. wobei das 
Ausstatten durch ein gesichertes Auslesen der 
Datenbank (31) des Servers und Laden des 
Masterschlussels (MKEK-i) in einen Speicher 
(11, 21...., x1) des hergestellten uber 
Identifikationsdaten iD-i identifizierbaren Gera- 
tes (10, 20... , i0,..., xO) bzw durch Programmie- 
ren des Speichers vor dem Zusammenbau des 
Geratesystems erfolgt, 

(III) Verbinden der Gerate (10, 20,.., iO xO) 

zu einem System und Initialisierung der zum 

System verbundenen Gerate (10, 20,.., tO 

xO) mit 

(1) Anfordern einer Nachricht (M) ein- 
schlieftlich der Ubermittlung zweier Identi- 
fikationsdaten (ID-A, ID-B) zweier Kommu- 
nikationspartner (A, B) an den Server (34), 
wobei das Anfordern von einem der Gerate 
(10, 20,.., iO,..., xO) nach dem Zusammen- 
bau des Geratesystems bei Inbetriebnah- 
me des Systems wahrend einer Kommuni- 
kationsverbindung mit dem Server erfolgt, 

(2) Generieren eines gemeinsamen gehei- 
men Verschlusselungsschlussels (KEK) 
durch einen Key-Generator (32) des Ser- 
vers (34) und Bilden von Teilen (M1, M2) 
der Nachricht (M) im Server (34) fur die 
zwei Kommunikationspartner (A, B) ent- 
sprechend zweier benachbarter Gerate, 
wobei das Bilden jedes der Nachrichtentei- 
le mit dem jeweiligen geratespezifischen 
Masterschlussel erfolgt, welcher sowohl in 
der Datenbank (31) des Servers (34) als 
auch im entsprechenden Gerat auslesesi- 
cher gespeichert vorliegt, fur welches der 
Nachrichtenteil bestimmt ist, 

(3) Senden der Nachricht (M) an das an- 
fordernde Gerat (10), 

(4) Empfangen der Nachricht imanfordern- 
dem Gerat und Weiterleiten mindestens ei- 
nes Nachrichtenteils (M2), welcher nicht 
fur das anfordernde Gerat (10) bestimmt 
ist, 

(5a) Entschlusseln eines ersten Nachrich- 
tenteils (M1) im anfordemden Gerat (10) 
und Speichern des entschlusselten ge- 
meinsamen geheimen Verschlusselungs- 
schlussels (KEK) auslesesicher im Spei- 
cher (11) des anfordemden Gerats (10), 



(I) Erzeugen mindestens zweier geratespezifi- 2S 
scher Masterschlussel in einer sicheren 
Schlusselverteilzentrale (30), 

(II) Ausstatten von Speichern von Geraten (iO), 
die zu einem System gehoren, mit dem zuge- 
horigem Masterschlussel (MKEK-i), wahrend 30 
der Herstellung der Gerate in einem gesicher- 

ten Bereich (50, 60), 

(III) Verbinden der Gerate (10, 20,.., iO...., xO) 
zu einem System und Initialisierung der zum 
System verbundenen Gerate (10, 20,.., iO,. ., 35 
xO) uber einen ungesicherten Kanal (37) mit 
Generierung, verschlussetter Ubermittlung von 
der sicheren Schlusselverteilzentrale (30) und ' 
nichffluchtiges Speichern eines entschlussel- 
ten gemeinsamen geheimen Verschlusse- *o 
lungsschlusseis (KEK) auslesesicher in den 
Speichern der Gerate des Systems, wobei je- 
weils zwei der Gerate (10, 20,... iO,..., xO), wel- 
che mitemander kommunizieren sollen, mit ei- 
nem geheimen gemeinsamen Verschlusse- 
lungsschlussel (KEK) ausgestattet werden. 
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sowie 

(5b) Entschlusseln des weitergeleiteten 
Nachrichtenteils (M2) mindestens in einem 
anderen Gerat (20) und Speichern des ent- 
schlusselten gemeinsamen geheimen Ver- 
schlusselungsschlussels (KEK) auslesesi- 
cher im Speicher (21 ) des anderen Gerats 
(20). 

3. Vertahren, nach Anspruch 2, dadurch gekenn- 
zeichnet - daB ein gesichertes Auslesen der Da- 
tenbank (31 ) des Servers uber eine gesicherte Let- 
tung (36) und ein Laden des Masterschiussels 
(MKEK-i) in einen Speicher (11, 21,.... x1) des her- 
gestellten Gerates (10, 20,.., xO) vor dem Zusam- 
menbau des Geratesystems in einer vor Manipula- 
tion gesicherten Umgebung des Herstelles ertolgt 
und - daft ein Initialisieren der Gerate des Systems 
ertolgt, wobei nach einem Senden der Nachricht 
(M) an das anfordernde Gerat ( 1 0, 20 Oder xO) uber 
einen ungesicherten Kanal (37) ein Loschen des 
generierten gemeinsamen Verschlusseiungs- 
schlussels (KEK) im Arbertsspeicher des Servers 
(34) nur dann ertolgt, wenn die Nachricht an das 
anfordernde Gerat abgesendet wurde 

4. Vertahren, nach Anspruch 3, gekennzeichnet 
durch eine Verkupfung des zu ubermittelnden ge- 
meinsamen Verschlusselungsschlussels (KEK) mit 
einer monoton stetig steigenden oder fallenden 
Grdfce im Server vor einer Verschlusselung zur 
Nachricht M und deren Ubermrttlung, wobei die mo- 
noton stetig steigende oder fallende GroGe in jedem 
im System beteiligtem Gerat ebenfalls gespeichert 
vorliegt und durch ein Unterscheiden einer fruher 
aufgezeichneten Nachricht M' von einer neuen 
Nachricht M des Servers anhand dieser GroGe. 

5. Vertahren, nach Anspruch 4, gekennzeichnet da- 
durch, da 3 die vorgenannte GroGe ein Zahlstand 
eines Zahlers ist. 

6. Vertahren, nach Anspruch 4, gekennzeichnet da- 
durch, daB der Verschlusselungsschfussel (KEK) 
gewechselt wird. 

7. Vertahren, nach Anspruch 6, gekennzeichnet da- 
durch, daft der Verschlusselungsschlussel gewech- 
selt wird, indem die Anforderung der vorgenannten 
Nachricht M in Zeitabstanden vom anfordemden 
Gerat wiederholt wird. 

8. Vertahren, nach .Anspruch 2, gekennzeichnet 
durch eine Generierung eines Sitzungsschlusseis 
(SK) in einem der Gerate des Systems entfemt von 
der Schlusselverteilzentrale (30) und durch einen 
Zugriff auf den gespeicherten aktuell gultigen ge- 
meinsamen geheimen Verschlusselungsschlussels 



(KEK) im Falie eines geheimen Schlusseitausches 
von Sitzungsschlusseln (SK) zwischen den Gera- 
ten des Systems, wobei der vorgenannte Ver- 
schlusselungsschlussels KEK nur nur einen be- 
5 stimmten Zeitperiode oder fur eine bestimmte An- 
zahl an Schlusseltauschen von Sitzungsschlusseln 
SK gultig ist. 

9. Vertahren, nach Anspruch 5 T gekennzeichnet 

w durch 

(6) Erzeugen eines Situngsschlussels SK zum 
Datentausch zwischen den Geraten und 
nichffluchtiges Speichern des Situngsschlus- 

1$ sels SK im Speicher des jeweils einen Gerates, 

(7) Verschlusselung mit dem geheimen Ver- 
schlusselungsschlussel KEK zu einer drmen 
Nachricht M3, 

(8) Senden der dritten Nachricht M3 an das je- 
20 weils andere Gerat, 

(9) Entschlusselung der dritten Nachricht M3 
mil dem geheimen Verschlusselungsschlussel 
KEK und nichffluchtiges Speichern des Si- 
tungsschlussels SK im Speicher des jeweils 

25 anderen Gerates. 

10. Vertahren, nach den Ansprtichen 1 bis 3, gekenn- 
zeichnet durch die folgenden Schntte: 

30 (I) Erzeugen mindestens zweier geratespezifi- 

scher Masterschlussel in einem Schlusselge- 
nerator (32) einer sicheren Schlusselverteil- 
zentrale (30) und Speicherung jedes der gera- 
tespezifischen Masterschlussel zugeordnet zu 
35 Identifikationsdaten ID-i des Gerates in einer 

vor einem ungesicherten Auslesen geschutz- 
ten Datenbank (31 ), so daft ein fur jedes Gerat 
(10, 20,. ...iO,..., xO) eines Systems ein separa- 
ter Masterschlussel (MKEK-i) zur Verfugung 
40 steht, wobei die Datenbank (31) uber einen 

Server (34) der Schlusselverteilzentrale (30) 
mit dem Schlusselgenerator (32) verbunden 
ist, 

(II) Ausstatten von Speichern der zu dem Sy- 
45 stem gehbrigen Gerate (10, 20,..,i0,..., xO) mit 

dem zugehorigem Masterschlussel (MKEK-i) 
wahrend der Hersteilung der Gerate, wobei das 
Ausstatten durch ein gesichertes Auslesen der 
Datenbank (31) des Servers und Laden des 
so Masterschiussels (MKEK-i) in einen Speicher 

(11, 21,..., il xt) des hergesteltten uber 

Identifikationsdaten ID-i tdentiftzierbaren Gera- 
tes (10, 20,.., i0,..., xO) bzw. durch Programmie- 
ren des Speichers vor dem Zusammenbau des 
55 Geratesystems ertolgt, 

(III) Verbinden der Gerate (10, 20,.., iO xO) 

zu einem System und Initialisierung der zum 
System verbundenen Gerate (10, 20. .. i0.. , 
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30 
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40 



45 



so 
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xO) mit 

0) Anfordern einer Nachricht (M) ein- 
schlieBlich der Ubermittlung zweier Identi- 
fikationsdaten (ID-A, ID-B) zweier Kommu- s 
nikationspartner (A, B) an den Server (34), 
wobei das Anfordern von einem der Gerate 
(10, 20,.., iO,.... xO) nach dem Zusammen- 
bau des Geratesystems bei Inbetriebnah- 
me des Systems wahrend einer Kommuni- 10 
kationsverbindung mit dem Server erfolgt, 

(2) Generieren eines gemeinsamen gehei- 
men Verschlusselungsschlussels (KEK) 
durch einen Key-Generator (32) des Ser- 
vers (34) und Bilden von Teilen (SM1, *5 
SM2) der Nachricht (M) im Server (34) fur 

die zwei Kommunikationspartner (A. B) 
entsprechend zweier benachbarter Gera- 
te, wobei fur die Schlussetvergabe des ge- 
nerierten geheimen Verschlusselungs- 20 
schlussels (KEK) hohere aktuelle Zahl- 
stande (CA, CB) durch eine erste mathe- 
matische Funktion ermittelt werden, wobei 
fur die zwei Kommunikationspartner (A, B) 
aktuelte Mastersitzungsschlussel (MSK-A, 2s 
MSK-B) durch Verknupfung der ermittelten 
aktuelien Zahlstande (CA, CB) mit dem je- 
weiligen geratespezifischen Masterschlus- 
sel (MKEK-A, MKEK-B) gemaG einer zwei- 
ten mathematischen Funktion generiert 30 
werden. wobei der an die zwei Kommuni- 
kationspartner (A, B) zu vergebende Ver- 
schlusselungsschlussel (KEK) mit dem ge- 
nerierten aktuelien Mastersitzungsschlus- 
sel (MSK-A bzw. MSK-B) verschlusselt 35 
wird und mit dem Zahlstand (CA bzw. CB) 
sowie mit einer Signatur (SIG1 bzw. SIG2) 
erganzt den jeweiligen Nachrichtenteil 
(SM1 bzw. SM2) bildet, wobei die Signatur 
durch Anwendung einer dritten mathema- *o 
tischen Funktion auf den jeweiligen Nach- 
richtenteil gebildet wird, 

(3) Ubermitteln von Nachrichten (M,N) zwi- 
schen dem anfordernden Gerat und dem 
Server, wobei die aus den zwei Nachrich- *s 
tenteilen (SM1 bzw. SM2) bestehende er- 
ste Nachricht (M) an das anfordernde Ge- 
rat gesendet (3.1) und dort empfangen 
(3.2) wird Oder anderenfalls die die Nach- 
richtenubermittlung wiederholt wird, wobei so 
im anforderndem Gerat ein erwarteter 
Zahlstand (CA') fur den Schlusseltausch 
generiert wird und die empfangene erste 
Nachricht (M) bezuglich des Zahlstandes 
(CA) desjenigen Nachrichtenteils (SM1) ss 
ausgewertet wird, der das anfordernde Ge- 
rat betrifft, wobei eine erste Ruckmelde- 
nachricht (N1 ) gebildet und zum Server zu- 



20 

ruckgesendet (3.3) wird, um den Empfang 
des ersten Nachrichtenteils (SM1) der er- 
sten Nachricht (M) zu bestatigen, falls der 
ausgewertete Zahlstand (CA) nicht kleiner 
ist, als der im anforderndem Gerat gene- 
rierte erwartete Zahlstand (CA 1 ), 
(4) Ubermitteln mit Weiterleiten (4.1) min- 
destens eines Nachrichtenteils (SM2), wel- 
cher fur den Kommunikationspartner (B) 
des anfordernden Gerates bestimmt ist : 
wobei im im anderen Gerat. das der Kom- 
munikationspartner (B) ist, ein erwarteter 
Zahlstand (CB') fur den Schlusseltausch 
generiert wird und wobei der Nachrichten- 
teil (SM2) bezuglich des Zahlstandes (CB) 
ausgewertet wird, der den Kommunikati- 
onspartner (B) betrirft. wobei im Ergebnis 
des Auswertens (4.2) eine zweite Ruck- 
meldenachricht (N2) gebildet, zum anfor- 
dernden Gerat ubermittelt (4.3) und uber 
das anfordernde Gerat zum Server zuruck- 
gesendet (4.4) wird, um den Empfang des 
zweiten Nachrichtenteils (SM2) der ersten 
Nachricht (M) zu bestatigen, falls der aus- 
gewertete Zahlstand (CB) nicht kleiner ist, 
als der im anderen Gerat generierte erwar- 
tete Zahlstand (CB') S 

(5a) Generieren eines neuen aktuelien Ma- 
stersitzungsschlussels (MSK-A 1 ) analog 
des aktuelien Mastersitzungsschlussels 
(MSK-A) und Entschlusseln eines ersten 
Nachrichtenteils (SM1 ) im anfordernden 
Gerat mittels des generierten neuen Ma- 
stersitzungsschlussels (MSK-A 1 ), um den 
Verschlusselungsschlussel (KEK) zu er- 
mittetn, wobei eine Vergteichssignatur 
(SIGV) zum Verifizieren gebildet wird und 
das Verifizieren des ersten Nachrichten- 
teils (SM1) mittels der Obermittelten ersten 
Signatur (SIG1) erfolgt, sowie Speichern 
des entschlusselten gemeinsamen gehei- 
men Verschlusselungsschlussels (KEK) 
auslesesicher im Speicher des anfordern- 
den Gerates, wenn der Verschlusselungs- 
schlussel KEK gultig ist Oder Abbrechen 
der Operation, wenn er ungultig ist, und 
(5b) Generieren eines neuen aktuelien Ma- 
stersitzungsschlussels (MSK-B') analog 
des aktuelien Mastersitzungsschlussels 
(MSK-B) fur das andere Gerat und Ent- 
schlusseln eines zweiten Nachrichtenteils 
(SM2) im anderen Gerat mittels des gene- 
rierten neuen MastersitzungsschlCssels 
(MSK-B 1 ), um den VerschlGsselungs- 
schlusset (KEK) zu ermitteln, wobei eine 
Vergleichssignatur (SIG2') zum Verifizie- 
ren gebildet wird und das Verifizieren des 
zweiten Nachrichtenteils (SM2) mittels der 
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ubermittelten ersten Signatur (SIG2) er- 
fotgt. sowie Speichern des entschlusselten 
gemeinsamen geheimen Verschlusse- 
lungsschlussels (KEK) auslesesicher im 
Speicher des anderen Gerates, wenn der $ 
Verschlusselungsschlussel KEK gultig ist 
oder Abbrechen der Operation, wenn er 
ungultig ist. 
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Fig. 1 
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(2) Erzeuge einen neuen Verschlusselungsschlussel 
KEK fur den Austausch eines Sitzungsschlussels 
und verschlussle jeweils mit MKEK-A und MKEK-B 
zur Nachricht M bestehend aus den Teilen: 
M1 = ENCRYPT (MKEK-A, KEK), 
M2 = ENCRYPT (MKEK-B, KEK). 
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SERVER 

(2) Erzeuge einen neuen VerschlUsselungsschlussel KEK fiir den 
Austausch eines Sitzungsschlussels, Bilde fur die Schlus- 
selvergabe die neuen Zahlstande CA=: CA+1, CB=: CB+1, 
Suche fur ID-A, ID-B die Masterschlussel MKEK-A, MKEK-B, 
Bilde MSK-A = XOR(MKEK-A.CA), Bilde MSK-B = XOR(MKEK-B.CB) 
als neue Mastersitzungsschlussei und Bilde unter Verschlusselung 
mitdem KEK jeweils eine Signatur SIG1 = ENCRYPT(F{M1},KEK) 
und SIG2 = ENCRYPT(F{M2>,KEK) fiir die Nachrichtenteile: 
SM1 - M1; SIG1 = ENCRYPT (MK-A, KEK),CA; SIG1 und 
SM2 = M2; SIG2 = ENCRYPT (MK-B, KEK),CB; SIG2. 
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